Bereits vor zwei Jahren erregte der amerikanische Medienforscher Nielsen Aufsehen, als er die Zugriffsstatistik des Online-Männermagazins "Penthouse" publizierte. Demnach entfielen innerhalb eines Monats 4556 Seitenabrufe auf IBM-Angestellte, Apple-Mitarbeiter brachten es auf 4462 Zugriffe und AT&T steuerte immerhin noch 3805 Besuche bei. Die Identifizierung der Firmenzugehörigkeit erfolgte über die Internet-Domänen, aus denen die Anfragen abgesetzt wurden. Damit stand auch fest, daß sich die High-Tech-Angestellten ihre Zerstreuung während der Arbeitszeit gönnten.
Hohe Raten des Internet-Mißbrauchs registriert auch ein jüngst von der Spyglass-Tochter Surfwatch veröffentlichter Bericht http://www.spyglass.com/news flash/releases/081198swchecknet. html . Er beruht auf der Auswertung von Protokolldateien, die Unternehmen dem Internet-Dienstleister zur Verfügung gestellt haben. Demzufolge verbrachten die Angestellten der untersuchten Firmen rund ein Viertel ihrer Online-Zeit mit privatem Web-Surfen (siehe Grafik). Neue Spitzenreiter sind demnach News-Dienste, die nun pornografische Seiten auf Platz zwei verdrängt haben.
Ganz uneigennützig sind derartige Untersuchungen meist aber nicht. Ähnlich wie wahlkämpfende Politiker hierzulande, die das Internet als Tummelplatz für Perverse und Kriminelle diffamieren, verfolgen auch Hersteller wie Spyglass damit ihre eigenen Interessen. Während sich Kanther & Co. höhere Akzeptanz für ihre Regulierungswut versprechen, erhofft sich Spyglass vermehrten Absatz für seine Filtersoftware.
Auch wenn sich Anwender nicht von aufbauschenden Berichten über den Internet-Mißbrauch beirren lassen, so kommen sie doch nicht um Überlegungen herum, wie sie den Gebrauch des Mediums im eigenen Haus regeln. Es geht dabei nicht nur um die Wahrung des Betriebsklimas, das durch die Verbreitung unerwünschter Inhalte beeinträchtigt werden kann. Daß dies durchaus unangenehme Folgen haben kann, zeigen erste Fälle aus den Vereinigten Staaten. Dort verklagten Angestellte ihre Arbeitgeber auf hohen Schadensersatz, weil sie sich durch rassistische Witze aus dem Internet diskriminiert fühlten, die Kollegen per E-Mail in Umlauf brachten.
Noch mehr dürfte Unternehmen stören, daß die zweckfremde Nutzung Kosten erzeugt, und zwar gleich auf zweierlei Art: direkte in Form von Gebühren für Verbindungen, Online-Zeit oder übertragenem Datenvolumen und indirekte in Form vergeudeter Arbeitszeit.
Im Umgang mit der unerwünschten Nutzung des globalen Netzes verfolgen Anwender zwei unterschiedliche Ansätze. Der erste betrifft Fragen des Managements und setzt auf "politische" Maßnahmen. Die jeweilige Unternehmenskultur bestimmt, welche Freiräume für die private Nutzung existieren sollen oder wie mißbräuchliche Anwendung sanktioniert wird.
Der zweite Ansatz versucht, über technische Hilfsmittel unerwünschten Gebrauch des Internets zu entdecken oder gar zu unterbinden. Die technische Überwachung des Internet-Gebrauchs bringt jedoch wenig, wenn sie nicht durch entsprechende Unternehmensrichtlinien abgestützt ist. Die Entdeckung von Mißbrauch hat schließlich wenig Wert, wenn er gar nicht geahndet wird.
Vor der Frage, wie möglicher Mißbrauch des Internet einzudämmen ist, steht im allgemeinen jene, was sich das Unternehmen von diesem Medium erwartet. Auf dieser Grundlage läßt sich dann entscheiden, welche Mitarbeiter überhaupt einen Zugang brauchen. "Bei uns gibt es keine zentrale Instanz, die über die Genehmigung aller Internet-Zugänge entscheidet, das liegt primär in der Verantwortung der Fachabteilungen", berichtet Werner Dinkelbach, zuständig für die DV-Sicherheit bei der Westdeutschen Landesbank Girozentrale in Düsseldorf. Um diese zur Zurückhaltung bei Genehmigungen anzuhalten, wird von den Abteilungen pro Internet-fähigem Arbeitsplatz eine Pauschale erhoben. "Auf diese Weise werden nicht mehr benötigte Zugänge abgemeldet, denn sie belasten die jeweilige Kostenstelle." Bis dato können fast 800 der insgesamt 10 000 Mitarbeiter von ihrem Arbeitsplatz aus das Internet nutzen.
Ähnlich verfährt auch die Weru AG an ihrem Standort in Rudersberg bei Stuttgart. Beim schwäbischen Hersteller von Fenstern und Türen werden Anträge für den Internet-Zugang zwar zentral über die DV-Abteilung abgewickelt und müssen schließlich noch vom Vorstand genehmigt werden. Aber auch dort findet eine eingehende Prüfung des Wunsches nach einem Internet-Anschluß statt. Von den rund 350 Mitarbeitern in der Firmenzentrale sind derzeit etwa 30 im Besitz einer persönlichen Auffahrtsrampe auf die Datenautobahn. Einige davon empfinden dies als besonderes Privileg, "für sie ist der Internet-Zugang vergleichbar mit einem Mercedes-Stern auf dem Schreibtisch", kritisiert DV-Leiter Walter Mai. Einer möglichen Sogwirkung des Statussymbols wider- stehen die Verantwortlichen, indem sie einleuchtende Begründungen für die Genehmigung eines Anschlusses verlangen und Anträge ablehnen, die ihnen nicht überzeugend scheinen.
Die Begrenzung der Internet-Zugänge auf ausgewählte Mitarbeiter dient somit als wichtige Vorbeugung gegen unerwünschten und unnötigen Gebrauch des Mediums. Freilich bedeutet das Freischalten des Anschlusses noch lange nicht die Möglichkeit zur ungehinderten Nutzung aller Dienste. Die meisten Unternehmen schränken die Zahl der verfügbaren Protokolle nach Abteilung oder einzelnen Mitarbeitern weiter ein. Üblicherweise gehören E-Mail und Web zu den erlaubten Diensten, File Transfer Protocol (FTP), das Usenet, Internet Chat Relay (IRC) und andere Chat-Techniken werden dagegen standardmäßig abgeblockt und nur nach einer zusätzlichen Genehmigung geöffnet. "Die DV-Abteilung benötigt FTP zum Herunterladen von Patches und Updates, andere Abteilungen bekommen da aber keinen Zugang. Telnet hingegen sperren wir aus Sicherheitsgründen grundsätzlich", erklärt Walter Mai. Bei der Westdeutschen Landesbank Girozentrale können Mitarbeiter individuell bestimmte Dienste beantragen. "Wenn jemand glaubhaft machen kann, daß er spezifische News-Gruppen oder einen Pushdienst für seine Arbeit benötigt, dann wird der Zugriff gewährt", erläutert Werner Dinkelbach.
Die beiden ersten Abwehrriegel gegen unerwünschte Internet-Nutzung, nämlich die Vergabe von Netzzugängen an ausgesuchte Mitarbeiter und die Sperrung ganzer Dienste lassen sich technisch ohne großen Aufwand realisieren. Eine entsprechende Konfiguration der Firewall verwehrt nicht autorisierten Mitarbeitern Ausfahrten auf die Datenautobahn und blockiert zuverlässig unerwünschte Protokolle. Freilich zeigt schon die Sperrung von Usenet, FTP & Co., daß Unternehmen nicht ausschließlich auf technische Maßnahmen setzen sollten, um den Gebrauch des Internet in ihrem Sinne zu beeinflussen. Die Querverbindungen zwischen den Diensten und ihre Ersetzbarkeit untereinander kann die Illusion totaler Kontrolle schnell zerstören (siehe Kasten "Hilflose Technik").
Noch schwieriger wird das Unterfangen, wenn Firmen über technische Mittel den Gebrauch zugelassener Dienste wie des World Wide Web regulieren wollen. Das Spektrum der Maßnahmen reicht dabei zwischen Protokollieren der Benutzeraktivitäten bis hin zum Blockieren unerwünschter Sites durch Filtersoftware.
Die Aufzeichnung personenbezogener Nutzungsdaten, wie sie praktisch alle marktgängigen Proxy-Server leisten können, erfordert hierzulande die Zustimmung des Betriebsrates. Der wird in den meisten Fällen allerdings vorher auf eine Betriebsvereinbarung pochen, in der die Internet-Nutzung klar geregelt ist. Solche verbindlichen Richtlinien geben den Angestellten die Sicherheit gegen willkürliche Verwendung von Nutzungsdaten durch den Arbeitgeber.
Über ein derartiges Negativbeispiel berichtete die CW-Schwesterpublikation "Computerworld". Demnach durchsuchte eine Behörde im Bundesstaat Florida unangekündigt die Bookmark-Dateien und Cache-Verzeichnisse ihrer Mitarbeiter und kündigte einer Angestellten, weil sie in ihrem Browser den Online-Auftritt des Nachrichtensenders "CNN" als Startseite eingestellt hatte.
Um Interpretationsspielräume über die Rechtmäßigkeit privaten Gebrauchs gar nicht entstehen zu lassen, schließen die West LB und die Weru AG jede derartige Nutzung generell aus, auch außerhalb der regulären Arbeitszeit. Die nordrhein-westfälischen Bänker protokollieren derzeit alle Web-Zugriffe, können aber einzelne Seiten nicht bestimmten Mitarbeitern zuordnen. "Damit kann der Personalrat leben", kommentiert Dinkelbach diesen Kompromiß. Vor allem aber wirkt sich dieses Vorgehen offensichtlich auf die Disziplin der Mitarbeiter aus, da ihre Aktivitäten prinzipiell beobachtbar sind.
Ähnlich verfahren auch die Kollegen von der DG Bank. Dort sieht die Einigung mit dem Personalrat vor, daß Web-Zugriffe nicht personen-, sondern abteilungsbezogen protokolliert werden. Falls in bestimmten Organisationseinheiten auffällig häufig Web-Server besucht werden, die wahrscheinlich dem privaten Vergnügen dienen, werden deren Leiter verständigt. Dadurch soll innerhalb der überschaubaren Abteilungen sozialer Druck entstehen, die zweckfremde Nutzung zu reduzieren. "Wir wollen gar keine übermäßige Kontrolle ausüben, sondern den Mitarbeitern Vertrauen entgegenbringen. Nach unserer Erfahrung honorieren die Kollegen ein solches Vorgehen, es wirkt sich positiv auf das Betriebsklima aus", beschreibt Andreas Fichelscher den Standpunkt seines Unternehmens. Die Auswertung der Log-Dateien informiert über das Ausmaß des privaten Surfens im Unternehmen. Zwar ist dieses generell untersagt, "wird aber nicht verfolgt, solange es in erträglichen Grenzen bleibt".
Keine Pläne zum Einsatz von Filtersoftware hat derzeit die DG-Bank. Weru-AG-Mann Mai will im Herbst mit ersten Tests starten. Die West LB hat davon bereits einige vorgenommen und überlegt noch die Anschaffung eines solchen Produkts (siehe Kasten "Anbieter von Filterprogrammen"). Deren Aufgabe besteht darin, Web-Nutzern den Zugang zu unerwünschten Seiten zu verwehren. Dazu greift die sogenannte Screening-Software auf eine Datenbank mit einschlägigen URLs zurück und benutzt zusätzlich meist noch eine Wortliste, anhand derer anstößige Seiten abgeblockt werden sollen. Im Gegensatz zu Consumer-Versionen werden die Profi-Ausführungen nicht auf dem Anwender-PC installiert, sondern können sich in Firewalls und Proxy-Server einklinken. Entscheidend ist dabei, wie rasch der Hersteller die Datenbank aktualisiert (bei einigen Anbietern erfolgt das Update täglich) und wie intelligent die Suchroboter bei der Zusammenstellung dieser Liste vorgehen. Aufgrund der schnellen Veränderungen im Internet befinden sich die entsprechenden Dienstleister ständig im Rückstand gegenüber dem Status quo und können keine völlige Sicherheit bieten. Ärger kann die Abschirmung von Web-Sites durch Software nicht nur dann verursachen, wenn sie anstößiges Material durchläßt. Simples Aufspüren von verdächtigen Schlüsselwörtern in HTML-Seiten blockiert häufig unverfängliche Angebote und unterbindet beispielsweise die Recherche nach der englischen Region Sussex oder nach Sextanten. Wütende Proteste von Content-Anbietern über die ungerechtfertigte Blockierung ihrer Sites durch Filtersoftware belegen Defizite einschlägiger Programme.
Die beste Einstufung von Web-Inhalten könnten indes deren Anbieter gleich selbst an der Quelle vornehmen. Microsofts "Internet Explorer" unterstützt das standardisierte Bewertungsverfahren Platform for Internet Content Selection (Pics, http://www.w3. org/PICS) seit der Version 3, Netscape rüstet es mit der Variante 4.5 des "Navigator" nach. Da aber mit einer verläßlichen und durchgängigen Auszeichnung von Inhalten durch ihre Anbieter nicht zu rechnen ist, bietet das Internet auch hier Schlupflöcher für die an, die solche suchen. An betrieblichen Vereinbarungen und Vorgaben durch das Management führt beim Gebrauch des Arbeitsmittels Internet deshalb kein Weg vorbei, technische Einrichtungen können diese nur ergänzen.
Hilflose Technik
Führungspersonal, das den Internet-Gebrauch ausschließlich über technische Maßnahmen in die rechten Bahnen lenken will, wird schnell Enttäuschungen erleben. Protokolldateien und Screening-Software ersetzen keine entsprechende Unternehmenskultur. Gerade Filterprogramme etablieren aber hinterrücks Wertmaßstäbe, die dem Hersteller einleuchten, aber nicht unbedingt dem Anwender. Zu rigide Kontrollen und demonstratives Mißtrauen beflügeln zudem die Kreativität der Mitarbeiter, die Zensur zu überwinden. Während technische Hilfsmittel das Management in einer Scheinsicherheit wiegen, können erfahrene Internet-Anwender die vielfältigen Hintertürchen des Mediums nutzen.
Diese eröffnen sich dadurch, daß ein großer Teil der Inhalte in mehrfacher Ausfertigung auf Servern diverser Betreiber vorliegen. Die Vielfalt der verfügbaren Dienste und deren partielle Austauschbarkeit untereinander macht das globale Netz praktisch unkontrollierbar.
Wenn daher ein Unternehmen seinen Mitarbeitern partout den Download per FTP verwehren will, findet sich bestimmt eine Kopie der gewünschten Datei, die sich per HTTP herunterladen läßt. Ähnlich sieht es beim Usenet aus, das sich bei Bedarf über Web-Dienste wie Deja-News http://www.dejanews.com erreichen oder durch die gängigen Suchmaschinen durchforsten läßt. Sogar die rigorose Beschränkung der Mitarbeiter auf E-Mail als einzigen Internet-Dienst kann sie am Abruf von Web-Seiten nicht hindern: Sogenannte E-Mail-zu-WWW-Gateways wie das W3Gate http://w3gate.gmd.de schicken beliebige HTML-Dokumente als elektronische Post zu.
Nicht viel besser stehen die Chancen für den Versuch, die Web-Nutzung durch Protokollierung und Filterprogramme hundertprozentig in den Griff bekommen zu wollen. Anonymisierer wie http://www.anonymizer.com oder Delegate-Server dienen als unverfängliche Anlaufpunkte, um unerwünschtes Material abzuholen. Letztere fungieren als Proxy-Server, ohne daß der Browser dafür konfiguriert werden muß. Ein Beispiel ist http://www.aubg.edu:8080.
Filterprogramme
Spyglass mit "Surfwatch" http://www.surfwatch.com
Security Software Systems Inc. mit "Cyber Sentinel" http://www.securitysoft.com
Net Partners Internet Solutions Inc. mit "Websense" http://www.websense.com
The Learning Company mit "Cyber Patrol Proxy Server" http://www.cyberpatrol.com
Solid Oak Software Inc. mit "Cyber Sitter Proxy Solution" http://www.cybersitter.com/ cybproxy.htm
Netnanny Software International Inc. mit "Net Nanny Pro for Networks" http://www.netnanny.com